AsiaSecWest 2018首日纪实,黑客与极客界的最强大脑 – 作者:Akane

2018年6月6日-7日,全球顶级信息安全峰会CanSecWest正式登陆中国香港。作为中外信息安全界两大教父级人物,腾讯安全玄武实验室负责人于旸(TK)和CanSecWest创始人Dragos Ruiu将率领中外顶尖高手,进行一场国际级的黑客大比拼。

简单的说,这就是一场黑客与极客的最强大脑。

图片1.png

CanSecWest及Pwn2Own创始人Dragos Ruiu 

为什么是腾讯?

说到全球最老牌的安全会议,CanSecWest一定位列其中。如果没听说过这个会,有着黑客世界杯美称的Pwn2Own你总知道吧,就是由CanSecWest组织的。TK对CanSecWest的评价是商业气氛比较低(听了一天纯技术分享,我觉得应该删除“比较”),技术氛围比较强,一句话就是干货多。香港这次延续了CanSecWest的优良传统,第一次来中国,选中西合璧的香港,没毛病。

4.JPG

说实话,大会的规模比我想象中小。不过作为纯技术人员的交流会,议题中科普性质的东西并不多

Dragos提到,其实他们与腾讯合作已经有年头了。

过去几年的安全大会上,腾讯曾多次分享有价值的研究成果,TK也有过精彩的演讲。作为业内领先的互联网公司,腾讯一直把安全作为重中之重,为止付出了卓越的努力。所以选择与腾讯一起,把AsiaSecWest带到中国,这是自然而然的事儿。

另外,两位大佬还互赠了小礼物,TK送给Dragos一台通过发射激光到条形码来实现远程控制的小设备(2015年PacSec上,玄武实验室曾经展示过该攻击手段,可以说这是腾讯与Dragos的第一次不解之缘),而Dragos则送给TK一顶帽子和一个书包。

8.JPG

将编码了BadBarcode信息的激光束照射在条码阅读器上,可以让条码阅读器认为自己正在读取条码

GDPR与数据安全

GDPR全称General Data Protection Regulation,即《通用数据保护条例》。这项法案在2012年1月份就已经起草,经过4年的探讨与协商,欧盟于2016年4月正式通过这一条例并宣布试行,到2018年5月25日正式全面施行。由于GDPR规定,企业一旦违反这一条例,最高可面临全球营业额4%的罚款,因此被冠以“史上最严数据保护条例”的称号。

GDPRGDPR正式实施,对我们来说到底影响有多大?

腾讯坐拥数亿用户,自然对数据安全很看重。

腾讯十几年前就考虑到了用户隐私及数据安全问题,不会以明文保存用户密码,没有必要的用户数据都不存。任何互联网公司都需要遵从所在国家的法律法规,不同的国家在数据隐私上会有不同的规定,相应的互联网公司经营之后也会根据这些规定调整自己的策略。举个例子,大知道Windows的扫雷,都玩过,Windows在有些国家的版本里面没有扫雷,把扫雷换成了扫菊花。因为他们觉得“扫雷”会冒犯那些被地雷伤害过的人。

Dragos提到,他们同样在学习和评估GDPR对全球的影响,他也举了个例子:

今天早上登录Facebook帐户的时候跳出一个弹框,让我进行选择。我当时想上传一张照片,它问我是否允许Facebook就这张照片进行面部识别,我当时第一想法是 “不要”,这张照片我只想低调发出去,不想让别人知道。我选这个选项的时候,系统却提示“如果你选择同意的话会放弃部分权利,今后有人伪造你的帐户使用你的照片的话,你将无法使用图像识别,视为自动放弃 Facebook帮助你识别虚假帐户的权利。

从此事例不难看出,用户隐私和安全问题实在是很复杂,对个人和业界都是如此。Dragos的观点是,我们不应该帮用户做选择,应该把自主权还给用户。

从妇科圣手到黑客教父

很多人都知道,TK教主当过学校记者团团长、考上过电台主持人、毕业于医科专业、获得微软10w奖励、还是微博和知乎的双料网红……究竟他是怎样从妇科圣手转职为黑客教父的呢?

2.JPG想转行信息安全?先拿出自己的主观能动性来

其实国内的老一辈信息安全大牛,科班出身的还真没几个(计算机专业的都不多,更别说信息安全了,十几年前还没有这个专业呢),基本都是本着自身对技术的热爱去投入,去自学。

我也是这样,我也爱医学,只是后来发现信息安全更有意思,可以说是变心了吧,哈哈……

TK提到现在的年轻人学习信息安全,比他们当年的条件好了不知道多少倍。无论你想学什么方向,只要你愿意,都可以在网上找到相关资料。

但我发现很多人都问我,“我应该学习什么?从哪里入手?”其实知道这一点正是开始学习的第一步,自己去找到学习点及学习资料,如果这个都做不到的话,是很难走的长远的。

Dragos也补充道,对于年轻人来说,从心(Follow Your Heart)、好奇心、永葆初心都很重要,如果对信息安全没有爱,相信他也不会在这条路上走一直走到今天,还把CanSecWest带到中国来吧。至于今天真正的主角们,他们正站在舞台上,分享自己的实践经验与智慧结晶。

下面就摘录几段最有意思的内容,看看大佬们的最新研究成果吧。

别被厂商忽悠了,来看看你的安卓手机漏打了多少关键补丁

安卓系统长期以佛系安全著称,出现各种神奇的漏洞屡见不鲜。尽管安卓是基于开源软件开发,但对于大多数用户来说其安全性仍是一个黑匣子,用户对安全补丁了解甚少,不得不盲目信任手机厂商的补丁。前些日子的HITB荷兰站上,来自德国的研究员公开了一项令人惊讶的发现——许多安卓手机厂商并不会向用户提供补丁更新,或者会推迟补丁的发布时间。甚至部分厂商在明知有系统更新的情况下,仍会告诉用户“你的固件已经是最新状态”。

5.JPG很显然,许多安卓厂商的补丁能力并不值得信任

来自Security Research Labs的首席科学家Karsten Nohl通过新颖的分析方法在大量预先编译的样本中查找函数特征,在手机或固件文件中发现漏打的安卓系统补丁。根据对数万个手机固件的分析结果,他们对漏打的安卓系统补丁进行了调查和量化。

大家可以通过Google Play下载SnoopSnitch,测试一下你的安卓手机,看看自己的手机漏打了几个补丁。

下面是笔者自行测试的几台手机,某星某锤和某米。

笔者的某星Galaxy S8,截至2017-8月的系统,存在1例漏打补丁现象。

WechatIMG26.jpeg

请忽视After Claimed Patch Level 38,这是由于本人的S8系统版本过低,不是某星的锅,至于为什么停留在去年8月版本就不再更新,那是另一个故事了

Andy同学的某锤坚果Pro,截至2017-10月的系统,共漏打了8个补丁,同样有8个未更新版本的补丁。

WechatIMG24.jpeg真的只是随手一测,某品牌粉丝不要打我

Karsten点名表扬了某米的社区完整性做的好,近期补丁更新状况也不错,实测确实如此。

WechatIMG25.jpeg

感谢浅黑科技史中老师提供截图

你们的手机漏打补丁了吗?欢迎在留言区讨论,记得留下你的机型和版本。

又见Chakra漏洞

听了一天老外,终于等到中国队登场了。

来自腾讯安全玄武实验室安全研究员宋凯和秦策,围绕“绕过所有系统缓解措施的Chakra漏洞和利用”为主题进行了分享,提出将浏览器内存安全漏洞转化为任意代码执行的新方法。

7.png

非技术出身的笔者说没有听懵,你们信吗?

演讲中,两位大牛针对Chakra的一个漏洞进行了详细讲解,并针对漏洞利用技术介绍了可以绕过所有防护的新方法。这项发现意味着,虽然Windows已经引入了许多针对漏洞利用的缓解措施,但是通过该漏洞利用技术依然能够绕过安全防范入侵设备,在浏览器内执行任意代码,甚至与其他提权漏洞进一步结合,在目标设备上对漏洞实现完全利用。

其实早在2015年,TK教主就已经针对Chakra的漏洞利用进行了详细的介绍。此次AsiaSecWest,宋凯与秦策分别就Chakra的漏洞利用的技术及其缓解方案进行了进一步总结,并在此前研究成果的基础上进行改进,披露了能够绕过Windows修复方案的“所有系统缓解措施的漏洞”,从整体上将Chakra漏洞利用研究又向前推动了一步。

联合国际智慧,输出中国能力

除了技术问题本身,全球网络空间安全态势也呈现出多种新变化。

新型网络威胁全球蔓延,物联网安全、网络黑产、互联网金融诈骗、数据隐私泄露等问题伴随着全球经济发展成为网络安全的新焦点。如何应对网络安全新形势,联合全球技术力量促进各方交流以尽可能维护网络信任度,是目前包括研究者、网络厂商、程序工程师,乃至于相关政府部门及企业在内的从业者必须面临的问题。

就像TK所说的那样,未来联网的设备轻松突破十亿级,靠自己能应付的了吗(将来靠人类也不够用,因此AI技术必然是未来信息安全行业拥抱的核心主题之一)?

图片2.png

合作早已成为安全行业的共识,国内的力量也在近年得到了越来越多的重视

也许这就是中外两大教父级人物联手,AsiaSecWest走进中国背后真正的原因吧。

彩蛋

这次真的没有小姐姐,就送个福利吧,超精美折扇一把,名家提词(上面四个字是FreeBuf官方唯一指定暗号,记清楚咯),夏天拿来扇风倍儿有面子!

20180606_232444.jpg还是老规矩,在本文下方留言,截至6月8日18:00,点赞数最高的小伙伴即可获得这把折扇,记得登录账号再写评论,否则联系不上。

*本文作者:Akane,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-06-07 08:40:49 by: Akane

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论